Heartbleed_Nightmare

هل تهدد ثقافة (المصدر المفتوح) أمن الشبكة؟

نُشر هذا المقال في عدد مجلة القافلة مايو-يونيو 2014

 

عبارةٌ شاعرية تصدّرت عناوين الأخبار العالمية خلال الأسبوع الثاني من أبريل 2014؛ (نزيف الفؤاد)! البعض ترجمها بـ “القلب الدامي” أو “نزيف القلب”.. أياً تكن الترجمة فإن العبارة (Heartbleed) قد تكررت كثيراً جداً ليس في عيادات المشاكل العاطفية ولا مواقع أخبار الأدب. ذلك المسمى الشاعري كان مختصاً بثغرة في برنامج حاسوبي أمني، اسمه OpenSSL، ينفذ بروتوكولاً تشفيرياً لحفظ خصوصية البيانات المرسلة عبر بالإنترنت. في الواقع، فإن OpenSSL يشتغل على نحو ثُلثيّ أجهزة خوادم الإنترنت في العالم! عليه، فيمكننا أن نتصور حالة القلق التي سيطرت لا على المستخدمين الأفراد وحسب، بل وعلى الهيئات الأهلية والعامة وعلى البنوك والمستشفيات وأجهزة الدولة حين تم الإعلان عن وجود ثغرة في النصّ البرمجي الخاص ببروتوكول التشفير OpenSSL تتيح للمتسللين اقتناص كلمة السر الخاصة بك، أو بأي مستخدم آخر متصل بحاسوب يشغّل OpenSSL.

الآن وبعد بضعة أشهر من الحدث يسعنا أن نتأمل في نتائج مهرجان القلق ذاك وأن نسأل: هل كانت القضية بتلك الخطورة فعلاً؟ وما الذي يضمن ألا يتكرر الأمر؟ خاصة وأن الاختصاصيين يقولون بأن الآلية الحالية لإدارة برمجيات الإنترنت تترك المجال مفتوحاً لاختراق مماثل. أصلاً.. من يكتب ويدير برمجيات الإنترنت؟

بداية الحكاية

قبل أن ندخل في التفاصيل سنستعرض حكاية حقيقية قد تعيننا على الفهم أكثر. ففي ليلة رأس السنة (31 ديسمبر) عام 2011، قام طالب دكتوراه ألماني متخصص في أمن المعلومات وعلوم الحاسوب، اسمه (روبن سِگلمان – Robin Seggelmann) بإجراء بعض المراجعات والتعديلات على نسخة من كود OpenSSL الأمني، معنية بالتحقق من توافر موارد الاتصال بين الحواسيب المرتبطة على الشبكة بإرسال ما يشبه “النبضة” الدورية أو الـ Heartbeat في العُرف الحاسوبي. تلك المراجعات التي أجراها سِگلمان في حينه كانت تطوعية. سِگلمان لم يكن موظفاً لدى شركة OpenSSL.. لأنه لا توجد شركة أو مؤسسة تجارية منتجة لبرنامج OpenSSL أحد أهم بروتوكولات التشفير الأمنية والجاري على أكثر من 300 ألف جهاز خادم (Server) تربط أجزاء الإنترنت ببعضها البعض.OpenSSL هو نتاج لنهج اقتصادي يتبع ثقافة اشتراكية تحت مظلة اسمها (المصدر المفتوح – Open Source) تقوم على إتاحة الفرصة لكل صاحب خبرة أو مهارة كي يسهم، تطويراً وتحسيناً، في المنتجات البرمجية التي يبتكرها الآخرون، وبدون تبعات أو مقابل مادي تقريباً.

فكرة المصدر المفتوح هي مبادرة لمقاومة الاحتكار التجاري والمبالغة في تقدير حقوق الملكية التي قد تسبب حرمان الكثيرين من الإفادة من المنتج. كما تهدف مبادرة المصدر المفتوح للتشجيع على الإبداع الحرّ . وقد نجحت هذه الفكرة عبر عقود في تقديم بعض أهم وأنجح البرمجيات إطلاقاً مثل نظام التشغيل (لينُكس – Linux). عليه، ينبغي أن نفرق بين نوعين رئيسيين من البرمجيات التي هي محور حياتنا الرقمية اليوم:

1- برمجيات محمية (أو مغلقة) المصدر، بمعنى أن الكود الخاص بهذه البرمجيات محمي ولا يمكن الاطلاع عليه ولا تعديله إلا من قبل موظفين رسميين في الشركة المنتجة للبرنامج الذي يتم تقديمه للمستهلك كوحدة مغلقة في وجه التلاعب، مثل برامج شركة مايكروسوفت التجارية.

2- برمجيات مفتوحة المصدر: بمعنى أن الكود الخاص بهذه البرمجيات متاح للعامة. ولتقريب الصورة فلو تخيلنا أن برنامج مايكروسوفت أوفيس كان مفتوح المصدر فإنك كمبرمج سيسعك أن تعدل طريقة عمل البرنامج ونوعية الملفات التي ينتجها وكأنك أحد أعضاء فريق التطوير. البرمجيات مفتوحة المصدر يقوم على تطويرها غالباً فريق من المتطوعين الذين يمتلكون المهارة ووقت الفراغ لكنهم لا يسعون بالضرورة خلف المادة.

لنعد الآن إلى روبن سِگلمان والذي كان أحد أولئك المتطوعين، أو الجنود المجهولين، الذين ينفذون عمليات تعديل ومراجعة كود بروتوكول التشفير ذي المصدر المفتوح والمستخدم من قبل 66% من خوادم الإنترنت في العالم: OpenSSL. تقول القصة أنه في تلك الليلة قبل عامين ونصف، قام سِگلمان بالطقطقة على لوحة مفاتيحه ليُدخل تعديلاً دورياً على أداء عملية (نبضة القلب) في البروتوكول المذكور. لكنه ارتكب غلطة برمجية بسيطة جداً تسمح بقراءة قيم مخزنة في الذاكرة لا يفترض أن تنكشف عادة. لم ينتبه سِگلمان لتلك الغلطة في حينه. لابد بأنه أحس وقتها بأنه يقدم خدمة عظيمة للبشرية لأنه يسهر مراجعاً –تطوعياً وبدون مقابل- برنامجاً حاسوبياً في حين يصخب العالم محتفلاً بالعام الجديد. المهم أن سِگلمان قد أرسل تعديلاته على كود (نبضة القلب) لعضو آخر في فريق مشروع OpenSSL هو (د. ستيفن هنسون)، والذي فاتته كذلك غلطة سِگلمان فاعتمدها في النسخة الرسمية للبروتوكول.

هكذا سرى البرنامج بعيبه الخطير عبر شبكة الإنترنت، كما يسري الدم الملوث في العروق، إلى أجهزة 28 مليون مستخدم حول العالم. بل بقي هذا العيب مستوراً ومتوراثاً عبر كل التعديلات التي أجريت على البروتوكول منذ ذلك التاريخ. ولم ينكشف الأمر للعموم حتى السابع من أبريل 2014 حين تم الإعلان عن وجود ثغرة تقنية خطيرة تتيح للمتسللين ومخترقي النظم قراءة محتويات الذواكر الخاصة بالأجهزة التي تشغّل البروتوكول المعيوب، بحيث يمكن لأولئك المتسللين الاطلاع على مفاتيح التشفير التي تحمي البيانات المتناقلة عبر قنوات الإنترنت، ما يعني أن المتسلل الذي ينجح في الاستفادة من هذه الثغرة سيسعه –نظرياً- أن يتجسس على بريدك الإلكتروني ويقرأ بياناتك من قرصك الصلب أو هاتفك المحمول بل وينتحل شخصيتك عبر حسابك المصرفي أو الحكومي.

تم إصلاح العيب فور اكتشافه وبمساعدة من سِگلمان نفسه الذي صار الآن (دكتور سِگلمان). لكن ذلك الإصلاح قد تحقق متأخراً جداً وبعد سنوات من نزف البيانات. ولأن الخطأ حصل في كود عملية (نبضة القلب).. فقد نال العيب المكتشف تسمية (نزيف القلب).

من الملام.. الشخص أم النظام؟

أحد أهم الأسئلة التي تبلورت خلال الساعات الأولى للأزمة كان بخصوص مجتمع الإنترنت: كيف يسمح هذا المجتمع لنفسه أن يعرّضنا لهذا الاختراق الشنيع وعلى مدى سنتين على الأقل؟ ومن هو المسؤول الذي تنبغي معاقبته على خسارة فادحة بات من المستحيل تداركها؟! في الواقع، فإن التأمل في التفاصيل سيوضح لنا الأزمة الحقيقية التي يعانيها ما يعرف بـ “مجتمع الإنترنت” وآلية عمله والتي قد تعتبر هي المذنب الحقيقي عوضاً عن الأفراد.

فالإنترنت ككيان افتراضي هي امتداد لثقافة المصدر المفتوح التي شرحناها آنفاً والتي تتمرد على القيمة المؤسساتية وتحاول أن تطلق العنان للإبداع الاشتراكي. ومع اعتماد الكثير من المؤسسات الربحية الكبرى التي تعتمد على برمجيات المصدر المفتوح، فإن هناك كيانات أخرى تعارض سياسة المصدر المفتوح بشدة وتمارس دورة الإنتاج والتسويق والتطوير بشكل مغلق داخل أسوار الشركة بدون أن تسمح لحفنة من الهواة بالتعديل على قرار مجلس الإدارة. من هذه الكيانات (مايكروسوفت) و (آبل) التي كان تأثر منتجاتها بأزمة (نزيف القلب) هامشياً وغير ذا أثر حقيقي. لكن برمجيات المصدر المفتوح تبقى ذات أهمية قصوى قد تزيد على أهمية برمجيات المصادر المحمية. بل إن الإنترنت لم تكن لتصير كما نعرفها اليوم لولا نهج المصدر المفتوح. فكما أسلفنا، فإن بروتوكولاً مثل OpenSSL يتم تطبيقه على 66% من خوادم الإنترنت، والتي تشغلها نظم تشغيل مفتوحة المصدر هي الأخرى مثل نظم (أباتشي) و Nginx. لماذا لا تشغل غالبية خوادم الإنترنت نظام تشغيل ويندوز مثلاً؟ الجواب: لأن سعر ويندوز مرتفع. إن شركة الإنترنت الناشئة لا تملك مئات الآلاف من الدولارات لتنفقها على منتجات مايكروسوفت، في حين يسعها أن تحصل على برمجيات مصدر مفتوح ذات كفاءة عالية وبأسعار أقل ستساعدها على النمو الأسرع على المدى الطويل. بفضل نموذج الأعمال هذا ازدهرت أسماء مثل (گوگل) و (فيسبوك). لكن ومن جهة أخرى، فإن تطوير برمجيات المصدر المفتوح يقوم على جهود متطوعين بنظام الدوام الجزئي. ويجادل البعض أن هذه القيمة التطوعية النبيلة قد تحمل بذرة الدمار لكل الجهود المبنية عليها. إن بروتوكول OpenSSL مثلاً، على أهميته الكبرى في عالم الإنترنت، يتم تطويره من قبل فريق من أربعة أشخاص، بالإضافة لستة آخرين أقل تطوعاً من الأربعة الأولين! والمشروع بأسره تموّله تبرعات لا تتجاوز الألفي دولار سنوياً! قد تبدو هذه الأرقام صادمة بالنظر للدور المحوري لمنتجات المصدر المفتوح في اقتصاديات الإنترنت التي تقدّر بالمليارات سنوياً. إن أحدنا قد يقرر على ضوء ما سلف أن المصدر المفتوح هو نموذج فاشل ينبغي أن يتم هجره فوراً. لكننا قبلاً يجب أن نتذكر أمرين:

1- أن برمجيات المصادر المحمية كذلك تتعرض للاختراق والفشل بغض النظر عن الملايين التي تصرف لتطويرها وتسويقها. بل إن بعض الشركات التجارية الكبرى قد غدت أسماؤها رديفة لإحباط المستخدمين مقارنة بالاعتمادية العالية لكثير من برامج المصادر المفتوحة.

2- إن برمجيات المصادر المفتوحة، بالرغم من الفقر الذي تعانيه مشاريع تطويرها مادياً، قد رسخت وجودها عبر العقود الماضية. كما وأن نجاحها لم يكن وفق مغامرة غير محسوبة العواقب، بل إنه قد تم التقعيد له عبر ما يعرف بـ (قانون لينوس).

ينص قانون لينوس –نسبة إلى (لينوس تورڤالد) الأب الروحي لنظام التشغيل مفتوح المصدر (لينُكس)- على أنه بوجود العدد الكافي من “الأعين”، فإن كل الثغرات قابلة للكشف. بكلام آخر فإن إتاحة برنامج المصدر المفتوح للمراجعة والتعديل لكل من هبّ ودبّ كفيل بأن يوفر حلولاً لكل إشكاليات البرمجة التي قد يعجز فريق احترافي عن حلها. ويجادل مناصرو المصدر المفتوح بأن هذه الفلسفة قد كفلت استمرارية نهجهم طيلة السنين بل وجعل نظام تشغيلهم الأثير هو الأقوى على الساحة بشهادة الجميع. لكن أزمة (نزيف القلب) شكلت صدمة كبرى لهذه القناعة. لأن عدد “الأعين” التي راقبت OpenSSL بكل أهميته ومكانته قد كان –بعد كلٍّ- قليلاً جداً وغير فعّال كما اتضح.. حتى مع حقيقة كون الثغرة قد اكتشفت من قبل زوج آخر من الأعين يمتلكه (نيل ميتا) الباحث لدى شركة (گوگل).

ما الحل؟

من المدهش أن أزمة (نزيف القلب) لم تسفر عن أية دعاوى جادة لنقض فكرة المصدر المفتوح. بل ن المراقبين يكادون يجمعون على أن المشكلة التي يعاني منها مجتمع المصدر المفتوح هي في المقام الأول مشكلة نقص في التمويل. إضافة لتعزيز آلية الإشراف على مشاريع المصادر المفتوحة والتي لا يُعقل أن تترك مهمة إدارتها لحفنة من الأعين المتطوعة بدوام جزئي فيما بعض تلك المنتجات مسؤول عن تسيير مصالح مؤسسات ومجتمعات بأسرها. لكن التمويل السخيّ ليس حلاً سحرياً وله تبعاته السلبية. لأن من سيدفع سيطالب بنفوذ وربما بأرباح في المنتج النهائي ما يناقض أساس فكرة المصدر المفتوح وينحرف به عن مساره. بعض ملامح الحل المنتظر تكمن في مبادرة اسمها Core Infrastructure أطلقتها في شهر مايو 2014 مجموعة من شركات التقنية الكبرى بقيادة (لينُكس) –عرّابة المصادر المفتوحة- لدعم مشاريع البرمجيات مفتوحة المصدر المستخدمة على نطاق واسع والتي تعاني نقصاً في التمويل، وذلك بتوفير مئة ألف دولار أميركي على الأقل سنوياً، وذلك لمدة لا تقل عن ثلاث سنوات. إن قائمة الشركات المنضمة لهذه المبادرة غير الربحية تشمل گوگل و إنتل ومايكروسوفت وفيسبوك وسيسكو وآي بي إم وفوجيتسو وأمازون وسواها. وهي في مجملها شركات متعددة النشاطات تقنياً، لا تعتمد جميعها فلسفة المصدر المفتوح في منتجاتها.. لكن القائمين عليها متفقون على تقدير الأهمية القصوى لفكرة المصدر المفتوح في نمو الإنترنت وتأمين استمرارية وخصوصية اتصالنا بها.